cerberus
MongoDB는 SQL 문을 통해 데이터를 조회하는 RDBMS가 아니라, NoSQL에 속한다.
Mango 문제와 동일하게 NosQL Injection 을 수행하면 쉽게 풀이가 가능하다.
요로케 값을 삽입하면 문제 클리어 가능하다. 여러 방법이 있겠지만 필자는 (페이로드 1) 방법을 사용했다.
id값이 “admin” 이면서,pw값이 1이 아닌 행을 조회하는 쿼리문이 된다.
(페이로드 1) ?id[$eq]=admin&pw[$ne]=1
(페이로드 2) ?id[$regex]=^adm&pw[$regex]=.
번외
NoSQL Injection 관련해서 HAHWUL님이 간단히 정리해주신 자료가 있으니 참고하자.
🐛.. 🐛.. 🐛..